1 Si vous ne pouvez expliquer un concept à un enfant de six ans, cest que vous ne le comprenez pas...
-
Upload
blancheflour-lefort -
Category
Documents
-
view
103 -
download
1
Transcript of 1 Si vous ne pouvez expliquer un concept à un enfant de six ans, cest que vous ne le comprenez pas...
1
“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein
2
Pourquoi parler de sécurité ?
3
La sécurité - Pourquoi ?
ConfiancConfiancee
AffairesAffaires
PME
MarchéClients
e-Business / e-Commerce
4
Pourquoi la sécurité ? (suite)
PME
Protéger la réputation Eviter des pertes financières
Satisfaire aux exigences légales, assurances
Mais aussi...
Il est important de noter que nous ne protégeons pas nos biens pour des besoins de sécurité mais nous appliquons des mesures de sécurité pour protéger nos biens
5
La sécurité informatique, une entrée en matière
6
la confidentialité,l’intégrité,la disponibilité,la non-répudiation.
La sécurité = {mesures} permettant d’assurer la protection des biens / valeurs.
Information & Systèmes
La sécurité = {mesures} permettant d’assurer
La sécurité, une entrée en matière
la protection de l’information & Systèmes
{
7
Se protéger contre quoi ?
8
Menaces & Vulnérabilités
Menace = Action Vulnérabilité = Réactif
Générique Fonction de l’environnement
Ex: Activation et diffusion d’un virusau sein de la PME
Absence d’anti-virus centralisé et à jourUtilisation du lecteur de disquettePossibilité de téléchargement,…
9
Menaces liées à l’utilisation de l’InternetAccès aux services Internet Échange de courriers
électroniques à traversInternet
Portage de services surInternet
Codes Cachés Perte de performances –Perte de services
Perte de confidentialitéet/ou d’intégrité
« Cyberwoozles » Codes Cachés Monitoring
Zoos sites Propagation non autoriséede fichier
Social engineering sur lesite de l'organisation
Usage Inadéquat deRessources
Impersonalisation IP spoofing
Non respect des accordsCopyright
Perte de Confidentialité Pénétration du réseau
Perte de performances Usage personnel Divulgation Accidentelled’information
Perte de confidentialité Répudiation Utilisation non adéquate deprivilèges
Attaque à la vie privée Perte de courrierélectronique
Ingénierie Sociale sur siteclient
Comportement nondéontologique
Perte de performances –Perte de services.
Propagation non autoriséede fichier
Atteinte à la Réputation
Perte d’anonymat Impersonalisation de siteWeb
Maquillage de site Web
10
Vulnérabilités
Absence ou manque de procédures organisationnelles
Absence ou manque de procédures et mesures techniques
Ex:Absence de support et compréhension du managementAbsence de politique de sécuritéAbsence de programme de sensibilisation,Absence de personnel qualifié, ...
Ex: Absence du suivi des problèmes et solutions,Fichier de traces non configurés / non contrôlés,Présence d’utilisateurs fantômes,Absence ou faible niveau de ségrégation du réseau,Manque de contrôle des fichiers téléchargés, Absence de contrôle des médias de sauvegarde,Présence de service non requis sur les machines,Absence de tests négatifs,...
11
Faut-il se protéger et jusqu’à quel niveau ?
Tout dépend de notre environnement, de nos besoins propres.
Comment définir ses besoins en sécurité ?
En passant par une gestion des risques
12
Face à un risque, trois types de réactions possibles:
L’ignorance complète des risques
La protection totale
La gestion de risques
Gestion des risques
13
Principes de bases
Un risque n’existe que dans le cas où ses trois composantes sont présentes: Un Bien, une Menace et une Vulnérabilité.
Gestion des risques
Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures protections soit en réduisant l’impact.
L’acceptation d’un risque est, en soi, un risque
14
Gestion des risques
Le pire des risques est celui dont vous ignorez l’existence
Exemple:
Quel est le risque pour votre entreprise que des systèmes d’informations (serveurs, stations de travail) soient infectés par un virus ?
Niveau de Risque
IMPACT
PROBABILITE
FAISABILITE
?
?
?
?
H: HautM: MoyenF: Faible
Fonction de la présence de vulnérabilités
Pour votre entreprise
Fonction du marché / environnement
15
16
Identification des mesures applicables
Infrastructure réseau
Stations / Serveurs / Bases de données
E-Applications / E-Services
Utilisateurs internes / externes
Organisation
Sécurité Organisationnelle
Analyse de risques
Politique de sécurité
Sécurité des utilisateurs
Gestion des utilisateurs / mots de passe ou authentifications fortes
Sécurité Applicative
Definition des profiles /roles
Verification des autorisation,
Chiffrement des donnéesSécurité des serveurs
Unix/ NT fortification
La sécurité réseauFirewall &
détecteurs d’intrusions
Chiffrement en ligne
17
Identification des mesures applicablesTenir compte des contraintes liés à votre environnement
Le budget octroyéL’environnement techniqueLes ressources disponibles La politique de sécurité de
l’entrepriseLes nouvelles vulnérabilités
introduites
18
Identification des mesures applicables
Fiches de risques
Liste des mesurespotentielles
Identification des contraintes
Plan de sécuritéorganisationnelle
Liste des mesuresapplicables
Plan de sécuritéphysique
Plan de sécuritétechnologique (IT)
19
Quel problème est-ce que la solution permet de résoudre ? Comment est-ce que la solution permet de résoudre le problème ?Quels autres problèmes la solution permet de résoudre ? Quels nouveaux problèmes la solution engendre ? Quels est le coût de la solution ? Est-ce que la solution vaut la dépense ?
Questions à prendre en considération dans le choix d’une solution
Identification des mesures applicables
20
Mécanismes d’authentification•Mot de passe statique•Générateurs de codes dynamiques•Cartes à puce•Systèmes biométriques•Signatures digitales et infrastructure à clés
publiques•Authentification unique et administration
centralisée
La Cryptologie•la cryptographie symétrique•la cryptographie asymétrique•la cryptographie hybride•SSL, PGP, VPN•la stéganographie
La sécurité des réseaux•firewall•détecteurs d’intrusions
La sécurité du commerce électronique•paiement par carte de crédit•monnaie électronique
Le Copyright sur l’Internet
L’ouvrage étudie et répond à ces questions pour les mesures de sécurité suivantes:
21
Implémentation et gestion de la sécurité
3 scénarios envisageables:
Utilisation de ressources internesOutsourcing (hébergement)Utilisation de ressources externes
22
S’il fallait mentionner deux qualités essentielles de tout bon responsable ou consultant en sécurité, ce serait la paranoïa et le bon sens. La paranoïa pour pouvoir identifier le plus grand nombre de scénarios de désastres et de vulnérabilité exploitables. Le bon sens pour pouvoir mitiger ces scénarios, identifier des priorités et des mesures de sécurité réalistes et cohérentes pour l’environnement étudié.
Conclusion
Didier Godart
23
http://users.skynet.be/fa104514/livre_securite.html
http://www.ecci.be
http://www.technifutur.be
Contacts & liens